Пламенный глаз интернета
Пламенный глаз интернета

За нами следят. Сотни камер наблюдения на улицах, всевидящие банкоматы, веб-камеры компьютеров и сотовые телефоны. Добавим к этому социальные сети, Skype, ICQ, Twitter и другие прелести XXI века и получим личную жизнь, выставленную на показ всему миру и сохраняемую в зашифрованном виде на века. В таком мире на первое место встаёт вопрос безопасности личных и корпоративных данных. И если данные крупнейших организаций начинают бесследно пропадать – значит, в Сети завёлся новый вирус.

«Пламя» – так дословно можно перевести название нового супервируса Flame (Worm.Win32.Flame, если быть точными), ставшего героем последних новостных сводок всего мира. Обнаружила его компания «Лаборатория Касперского» после того, как в конце апреля власти Ирана заявили, что с компьютеров местной нефтяной компании исчезли все данные о клиентах и объёмах поставок, а также много другой весьма полезной информации.

Словно языком пламени её слизало. Причём база была не просто удалена, поверх рабочих данных для исключения возможности их восстановления были несколько раз записаны так называемые «мусорные» данные.

Тогда-то по заказу Международного союза электросвязи (ITU) за изучение проблемы взялись специалисты «Лаборатории Касперского».

В итоге примерно на 500 машинах (200 были размещены в Иране, остальные на израильских, палестинских, суданских и сирийских компьютерах) нашлась небольшая, весом всего 20 Мб, программка. Согласно предположению «Лаборатории Касперского», она могла проникнуть в компьютер из-за уязвимости музыкального проигрывателя Windows Media Player, позволяющей вместо видеоролика запускать на атакуемом компьютере специальный код.

Интересно, что программа тихонько сидела в компьютерах не неделю и не месяц, а около двух лет, спокойно и планомерно копируя все без исключения данные. Flame также умел перехватывать и анализировать пароли и другую пользовательскую информацию, искать по Bluetooth соседние устройств, переименовывать их и даже записывать аудиофрагменты.

По словам экспертов, Flame является одной из самых сложных и вредоносных из когда-либо созданных программ и во много раз превосходит печально известный червь Stuxnet, который два года назад учинил настоящий хаос в иранской ядерной программе. Stuxnet создавался с целью нарушить работу и физически уничтожить чувствительные системы.

Новый червь не стремится ничего уничтожать, его главной целью является избежать обнаружения и годами собирать ценную информацию. Для этого создателями программы были зарегистрированы несколько десятков доменов.

После обнаружения трояна специалисты не стали кричать об этом на всех углах. Сначала они сымитировали пустую заражённую машину и тут же начали получать запросы от управляющего вирусной сетью центра. Страны, откуда они приходили, постоянно менялись – Германия, Турция и так далее.

После того, как «Лаборатория Касперского» объявила о своей находке, реакция владельцев троянской программы последовала незамедлительно: уже через несколько часов узлы, с которых управляли червём, стали недоступны.

 

На вопросы ПТ ответил Виталий Камлюк — ведущий антивирусный эксперт «Лаборатории Касперского»

1. Стоит ли жителям Европы, и Чехии в частности, бояться этого вируса?

Программа Flame на сегодняшний день обнаружена нами преимущественно в странах Ближнего Востока. Она распространяться по локальной сети и через съёмные носители при получении соответствующего приказа от её хозяина, т.е. с её помощью осуществляются целенаправленные атаки, а не массовое заражение пользователей. Мы считаем, что распространением зловреда управляет оператор.

Вопрос о том, стоит бояться или нет, скорее, философский. Посудите сами, Flame – это живой пример применения современного кибероружия и достаточно сложно предположить, против кого оно может быть направлено.

На сегодняшний день нами обнаружены единичные случаи заражения компьютеров Flame в Западной Европе. При этом стоит учитывать, что определения нами местоположения компьютера происходит по IP-адресу. Если же пользователь использует прокси-сервер расположенный в Европе, то мы видим его европейский IP-адрес, в то время как он физически расположен, к примеру, на Ближнем Востоке.

2. Могли ли  «Flame» создать хакеры-любители или это правительственные разработки?

Flame — это огромный пакет, состоящий из множества программных модулей, общий размер которых при полном развертывании составляет почти 20 МБ. Для сравнения, печально известный червь  Stuxnet, целью которого было выведение из строя объектов ядерной инфраструктуры Ирана, был примерно в 20 раз меньше.

Уже тогда мы говорили о том, что для создания такой вредоносной программы как Stuxnet необходима целая команда профессиональных программистов и бюджет, исчисляющийся сотнями тысяч долларов. В случае с Flame мы имеем дело с одной из наиболее сложных угроз, обнаруженных на сегодняшний день.

3. Знаем, что в последнее время вы стремитесь к расширению своего присутствия на чешском рынке. Обнаруживались ли в процессе работы тут подобные, пусть даже менее масштабные, вирусы?

Нет, ничего похожего на Flame в Чехии, мы никогда не обнаруживали. Вообще Чехия по нашим оценкам является достаточно спокойным с точки зрения вирусной активности регионом. Какие-либо яркие примеры здесь – большая редкость.

 

Дария Соловьёва

Опубликовано в газете «Пражский телеграф» №23

ОСТАВЬТЕ ОТВЕТ

Введите Ваш Комментарий
Введите Ваше Имя